Bu rehber, gerçek StealC örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 2 IP, 1 domain, 1 mutex).

StealC Nedir?

StealC, ilk olarak 2023 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

StealC is a C-based lightweight infostealer sold as MaaS. Collects browser data, crypto wallets, and documents. HTTP panel C2. Very compact binary size.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: C dili, HTTP POST C2, browser stealer (Chromium/Firefox), kripto wallet stealer (50+ tarayici eklentisi), Telegram stealer, Steam, Discord token stealer, fingerprint modulu

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
  • Tarayıcı hesapları ele geçirildi, hesaplara izinsiz giriş uyarıları

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek StealC örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
c3635ad319d02c61c07dd3095b4998cf81c6d1e361284fcb67d00fe8b01d1e38SHA256NULL
25572b53676f1041dfec6ddd3ac1b47c5db8c384c98aac6238c463ada08ad523SHA256NULL
b2687e641c114589ef0f3e96abb7bdf5758009b72a0ef74f2e7f30fafe7bebe7SHA256NULL
c44501faed7f8460936e69c2e0b43f1d6f445347269da5fd7e5b1e4676133e2dSHA256NULL
0b466e164af0e6da4b2bf92d17ad8e931da9ed5b12ddc89dfc74f1bfcd5e90d1SHA256NULL
55a77ff1a1fca2d0a2bbf1c5b6d9b6dbMD5NULL
6b57e128783abd160268c7031f08d194MD5NULL
011c4ffba12eb2a298ff83159177ca7aMD5NULL
38afdb5298a301871278e15711d1fe8bMD5NULL
1ce66659db50b6a7bd8e62d6ae432330MD5NULL

Süreç Tespiti — Mutex Değerleri

Process Explorer veya Process Hacker ile aşağıdaki mutex değerlerini arayın; bu değerlerin varlığı aktif StealC enfeksiyonuna işaret eder:

  • GlobalStealC_V2_mutex

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — StealC Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Mutex listesini (yukarıdaki bölüm) Process Hacker ile kontrol edin.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes
  • AdwCleaner
  • HitmanPro

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen StealC C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

  • 45.87.152.64
  • 185.174.137.219

Domain Adresleri

  • stealc-panel.ru

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

  • Google, Microsoft, Apple, sosyal medya hesap şifreleri ve 2FA cihaz bağlantıları
  • Bankacılık, ödeme sistemleri, e-ticaret site şifreleri
  • Kripto cüzdanları — yeni cüzdan oluşturun, eski seed phrase'i geçersiz kılın
  • E-posta sağlayıcınıza şüpheli erişimi bildirin, aktif oturumları sonlandırın
  • Tüm hesaplarda 2FA/MFA etkinleştirin

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

StealC — Malware Profile

StealC, 2023 yilinda ortaya cikan Go (Golang) tabanlı bir MaaS infostealer ailesidir. Vidar ve Raccoon kaynak kodundan ilham alinarak gelistirildigi dusunulmektedir. 30+ tarayici, kripto cuzdan, FTP istemcisi, email ve Discord/Telegram token hedefler.

Malware Type
Infostealer
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows

Technical Details

C dili, HTTP POST C2, browser stealer (Chromium/Firefox), kripto wallet stealer (50+ tarayici eklentisi), Telegram stealer, Steam, Discord token stealer, fingerprint modulu

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

C2 Servers (4 recorded servers for this family)

Address Type Port Protocol Status Country
www.pakistani.org domain — HTTP active —
45.87.152.64 ip 80 HTTP inactive NL
185.174.137.219 ip 80 HTTP inactive RU
godebugs.Info domain — HTTP inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
temizlikkaldırmastealcinfostealervirüs temizleme